Door de overheid gefinancierde cybercrimineel en hacker groepen uit de hele wereld maken gebruik van de huidige coronavirus pandemie (COVID-19) te bespioneren hun respectieve tegenstanders, cyberbeveiliging threat intelligence bedrijven waarschuwen. In de afgelopen weken, verschillende hacker groepen gekoppeld aan de Chinese en Russische regeringen, onder andere, zijn het verzenden van kwaadaardige bestanden die zijn gekoppeld aan e-mails met informatie over de pandemie.
Cybersecurity bedrijven FireEye en Check Point hebben gemeld dat twee hacker groepen gekoppeld aan de Chinese regering aangevallen Vietnam, de Filippijnen, Taiwan en Mongolië. De techniek bestaat uit e-mailbijlagen met echte medische informatie over het coronavirus vergezeld van malware zoals Sogu en Cobalt Strike, volgens FireEye intelligence analist Ben Read. De deskundige stelt: “De echte verklaringen van politieke leiders en authentiek advies, waarschijnlijk afkomstig uit openbare bronnen, diende als een afleiding voor degenen die zorg over de ziekte.”

Een Russische groep bekend als TEMP. Armageddon stuurde spear-phishing e-mails naar Oekraïense doelen. Spear-phishing is een tactiek die hackers gebruiken om specifiek ontworpen kwaadaardige links die doelen te verleiden tot het klikken, waardoor ze per ongeluk infecteren sturen.

FireEye analisten vermoeden ook dat Noord-Koreaanse hackers achter een recente dergelijke aanval op een Zuid-Koreaanse doel. Net als China is Zuid-Korea bijzonder getroffen door de uitbraak. De phishing e-mail was in het Koreaans onderwerp”, “Brief over het coronavirus”.

“Mensen verwachten informatie te ontvangen van overheidsbronnen, dat is waarom ze zeer waarschijnlijk te openen en downloaden van de bijlagen om te zien wat het zet. Het is erg handig om zo’n aanval te beginnen. De coronavirus uitbraak is een geweldig voertuig voor cybercriminelen, vooral degenen die vertrouwen op phishing om hun aanvallen te starten,” legt Check Point Chief of Threat Intelligence Lotem Finkelstein.

Criminele
Naast de voortdurende activiteiten van door de overheid gefinancierde hackers, individuele cybercriminelen zijn ook profiteren van de chaos van de huidige situatie. Deze hackers hadden al gebruik gemaakt van de angst die werd geboren in de nasleep van Ebola, Zika en SARS om geld te verdienen.

In een verklaring stelt FireEye: “We hebben in veel campagnes economisch gemotiveerde acteurs ontdekt die phishing met coronavirus-thema gebruiken, met een grote maandelijkse volumestijging van januari tot vandaag. We verwachten dat het gebruik van coronavirus-thema kunstaas door aanvallers met zowel opportunistische als specifieke economische motieven vanwege de algehele relevantie van het probleem.”

Blanken (of slachtoffers) “hebben hun interesse in virus-gerelateerde nieuws en nieuws verhoogd, dus ze zijn waarschijnlijk meer vatbaar voor social engineering dat hen trucs in te klikken op kwaadaardige links,” de onderzoekers van cyberintelligence bedrijf RiskIQ uitgelegd.

Hoewel relatief eenvoudig, de phishing-techniek (het verzenden van een link of bestand bedoeld om iedereen die klikt infecteren) is de meest voorkomende en succesvolle vorm van aanval jaar na jaar. Hackers proberen om gebruik te maken van het coronavirus hebben gericht zowel individuen en bedrijven met valse e-mails beweren te komen van vertrouwde organisaties, zoals de Amerikaanse Centers for Disease Control (CDC) en de World Health Organization (WHO).

Phishing e-mails beloven alles, van drugsinformatie tot medische apparatuur. Maar in werkelijkheid is het doel om malware te lanceren of wachtwoorden te stelen die proberen te profiteren van de chaos.

Hackers zoeken naar doelen over de hele wereld, maar sommige hebben zich gericht op de landen die het meest getroffen zijn. Italië, dat tot nu toe de ergste lekkage buiten Azië heeft gezien, is het doelwit geweest van een phishing-campagne tegen bedrijven. Valse e-mails, doen alsof ze van de WHO, beweren te bieden voorzorgsmaatregelen in de vorm van een Microsoft Word-document, maar wat daadwerkelijk wordt gedownload is een banking Trojan genaamd Trickbot bedoeld om grote sommen geld te stelen.

Hoewel de afzender van de e-mail beweert van de WHO te zijn, komt het domein van de afzender niet overeen met de who-website who.int.

Leave a comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *